Sifrovanie

Sekcia: Komunita 26.03.2015 | 09:47
Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

Dobry den. Chcem sa spytat jednu vec. U nas v obci je jeden poskytovatel internetoveho pripojenia, ktory zacina poskytovat internet cez optiku. Rychlost je na obec super, ale... Pred par rokmi spravil znamemu taku vec, ze ked mu zapajal internet, dal mu cely jeho pocitac zdielat vsetkym v sieti a vsetci videli do jeho pocitaca, (do jeho fotiek...) bez toho, aby o tom vedel, lebo sa pocitacom samozrejme nerozumie. Dozvedel sa o tom az u znameho v susednej obci. Nedavno som pocul podobnu vec, ked u kamosa riesili nejaky problem a pocas toho mu hovoril, hej vidim ze teraz pozeras toto a teraz toto... Je mozne nastavit, aby komunikacia bezala cely cas sifrorvane aj ked si budem zobrazovat obycajne nieSSL stranky ? Pouzivam Lubuntu a PCLinuxOS s LXDE.

    • RE: Sifrovanie 26.03.2015 | 10:06
      Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

      Nejako spustit ssh vo svojom vlasnom pocitaci a cez neho ist na net ? DNNSEC asi nie, neviem....

    • RE: Sifrovanie 26.03.2015 | 10:55
      Avatar ToJeJedno   Návštevník

      cez VPNku nema nikto sancu nikto zistit kde surfujes - teda okrem serveru kam sa VPN-kou pripajas. Napr.

      https://www.overplay.net/vpn.php

      • RE: Sifrovanie 26.03.2015 | 11:04
        Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

        Kedze od neho mi pojde kabel do mojho pocitaca, tu VPN-ku by som si mal vytvorit vo svojom PC ako virtualnu a tak cez nu nejak...? Lebo ak sa cez neho budem napajat na VPN, on to vie prelomit, myslim aj MITM utok je na tom zalozeny, ze podvrhuje SSL certifikaty.... Alebo je to inak ?

        • RE: Sifrovanie 26.03.2015 | 11:19
          Avatar Andrej Lacho Debian, CentOS obcas Kubuntu  Administrátor

          Tak pristupuj na net cez Tor.

          Linux without fckin systemd
          • RE: Sifrovanie 26.03.2015 | 11:36
            Avatar borg Arch, Debian jessie  Administrátor

            no to je vyhra...

    • RE: Sifrovanie 26.03.2015 | 11:00
      Avatar vxmery Mint 17.3  Používateľ

      Keď ti robia optické pripojenie, predsa ich vôbec nemá čo zaujímať tvoj počítač. Mal by si dostať NTU (prevodník), ktorý optický signál z patchkordu prevedie na Ethernet a Router, ktorý si sám nakonfiguruješ. Či?

      • RE: Sifrovanie 26.03.2015 | 11:04
        Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

        Nemam sajnu ako sa to robi....

        • RE: Sifrovanie 26.03.2015 | 11:18
          Avatar Andrej Lacho Debian, CentOS obcas Kubuntu  Administrátor

          Nevieš nakonfigurovať obyčajný router?

          Linux without fckin systemd
          • RE: Sifrovanie 26.03.2015 | 11:20
            Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

            Myslis v tom routery nastavit VPN ?

            • RE: Sifrovanie 26.03.2015 | 11:27
              Avatar Andrej Lacho Debian, CentOS obcas Kubuntu  Administrátor

              Nie, mário vraví že keď ti montujú optiku tak privedú optický kábel do prevodníka - či už k tebe domov alebo niekde na chodbe (pokiaľ by si býval v bytovke) a z toho prevodníka ide ethernet klasický do nejakého tvojeho osobného routra ktorý by ti mal robiť neaké to DHCP a tak pod. Čiže tým chcel povedať že ich nemá čo zaujímať tvoja LAN.

              Linux without fckin systemd
              • RE: Sifrovanie 26.03.2015 | 11:42
                Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

                Dajme tomu, ze byvam v obycajnom rodinnom dome, on ku mne natiahne kabel + krabicky a na konci budem mat LAN kabel, ktory strcim do mojho PC. Ked sa budem pytat na akukolvek stranku, napr. https://www.banka.sk on vie ze konkretne ja sa pytam na tuto stranku a vie mi podvrhnut SSL certifikat a odchytavat tak moje data ?

                • RE: Sifrovanie 26.03.2015 | 11:45
                  Avatar Andrej Lacho Debian, CentOS obcas Kubuntu  Administrátor

                  Ja sa spýtam takto. Ako pristupuješ teraz na https://banka.sk?

                  Máš nejakého ISP ktorý ti dáva tak isto net ako to bude v prípade optiky len sa zmení to že pred routrom tvojím budeš mať prevodník a samozrejme aj rýchlosť bude lepšia.

                  Linux without fckin systemd
                  • RE: Sifrovanie 26.03.2015 | 11:50
                    Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

                    Teraz mam net cez orange a tam nepredpokladam, ze by ma sledovali az tak... Ale viete ako to chodi na dedine, vsetci chcu vediet o vsetkom....

                    • RE: Sifrovanie 26.03.2015 | 11:54
                      Avatar Andrej Lacho Debian, CentOS obcas Kubuntu  Administrátor

                      Každý ISP má možnosť ťa nejakým spôsobom sledovať a je len na ňom či sa k tomu odváži alebo nie. Každopádne si minimálne môžeš zabezpečiť vnôtornú sieť aby ti tam nemal ako vkĺznuť.

                      Stačí nejaký MikroTik malý nakonfigurovať ako FW a budeš mať LAN pod kontrolou. Pokiaľ ide o šifrované spojenie von tak hore ktosi písal o VPN. To sú zvyčajne ale platené vecičky.

                      Linux without fckin systemd
                    • RE: Sifrovanie 26.03.2015 | 13:12
                      Avatar vxmery Mint 17.3  Používateľ

                      Radovan, ešte otázka. Z tvojej reakcie sa mi zdá, že doteraz si router nepoužíval. Tak či netak?

                      • RE: Sifrovanie 26.03.2015 | 13:39
                        Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

                        Hej, doteraz to bolo len jednoduche zadanie prihlasovacich udajov k internetu od T-com alebo Orange do klasickych modemov. Raz som nastavoval nejaky switch, ale slo to automaticky samo, len som zmenil admin hesla. Citam o tom kopu, ale kym to nemam rucne odskusane, tak je to pre mna spanielska...

                        • RE: Sifrovanie 26.03.2015 | 13:49
                          Avatar Andrej Lacho Debian, CentOS obcas Kubuntu  Administrátor

                          Aha, tak na MikroTik zabudneme :)

                          Teraz máš nejaký DSL router asi čo? Ten by sa dal nakonfigurovať aj ako bežný router. O aký typ sa jedná?

                          Linux without fckin systemd
                        • RE: Sifrovanie 26.03.2015 | 14:36
                          Avatar vxmery Mint 17.3  Používateľ

                          No panic. Konverter ťa v podstate nemusí zaujímať, tam sa u providera končí jeho rozhranie (WAN) a za routerom začína tvoje rozhranie (LAN). Zvyčajne ponúkajú niekoľko typov routerov. V kažnom prípade obsahujú návody popísané jasne a zrozumiteľne a zvyčajne sa konfigurujú cez Web browser. Pre úplné lamy (ako ja napr.) je k dispozícií pomocník, ktorý ťa prevedie cez štandardnú konfiguráciu, ktorá ti zabezpečí štandardnú bezpečnosť tvojej LAN. Riadne si najprv prečítaj návod, daj si pivo a zvládneš to pravou zadnou. 

    • RE: Sifrovanie 26.03.2015 | 18:26
      Avatar WlaSaTy   Návštevník

      Problém tvojho prvého známeho s tvojou otázkou nesúvisí. Keď bol blbý, a dal si pichnúť lacný routr s otvorenou wifi, tak si mal na svoj počítač dať firewall. A ted druhý mal tiež nesúvisiacu poznámku o šifrovanej vpn. Tá mu v tomto prípade nepomôže.

      V dnešnej dobe sa už robia routre čo naraz poskytujú dve siete. Jedna je pre domáceho kde sa vidí počítač s tabletom, smartfónom, naskom, televízorom, bezpečnostnou kamerou a chladničkou. Druhá je pre hostí a v nej sa navzájom nevidia ani hostia, ale môžu si pozrieť interfernet. Len také routre nestoja dvacku. Viac k tomu neni čo dodať.

    • RE: Sifrovanie 15.04.2015 | 06:00
      Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

      Stiahol som zo stranky https://addons.mozilla.org/sk/firefox/addon/dnssec-validator/ ( viac: http://www.nic.cz/page/741/dnssec-validator/ ) dnnsec validator a nainstaloval som ho do firefoxu (je aj pre Chrome). Ked pojdem napr. na stranku www.root.cz ukaze mi pekne zeleny kluc podla navodu. Ak idem na linuxexpres.cz ostane kluc sivy, kedze stranka nema podporu DNNSEC. Chcem sa spytat, ak by poskytovatel ISP podvrhoval SSL certifikat, kluc by na stranke www.root.cz ostal oranzovy alebo cerveny.... Bolo by to takto mozne  overovat, ci niekto nepodvrhuje SSL a neodpocuva spojenia ?

      • RE: Sifrovanie 15.04.2015 | 14:41
        Avatar WlaSaTy   Návštevník

        Nie. Podvrhnutie SSL pri HTTPS (a SSH, poprípade iných služieb fungujúcich pod SSL) sa dá overiť len ak aplikácia pozná správny kľúč a vie ho overiť. Správnosť kľúčov obvvykle overujú certifikačné autority, alebo koncové body pomocou iného média. Takže ak neveríš samozvanej CA, tak si môžeš zavolať napríklad do redakcie ROOT.CZ a vypýtať si od nich podpis kľúča aby si si bol istý. Ak nebola konekcia nakazená cez MITM a nepodvrhli náhodou aj telefónne číslo na nej uvedené. Zneužívanie podvrhovania certifikátov nezodpovednými certifikačnými službami pre HTTPS bolo veľa krát rozoberané, a je škoda o tom hovoriť. Spoliehanie sa na CA bez overenia postranným kanálom je len falošným pocitom bezpečia.

        A DNSSEC? Ten slúži podvrhnutiu IP adresy, nie proti odposluchu. DNSSEC len podpisuje DNS záznamy.

        PS: Aj Ti niekto naimportuje do tvojho konta vlastnú CA, tak Ti môže podvrhovať certifikáty za behu.

    • RE: Sifrovanie 21.04.2015 | 09:21
      Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

      http://www.milan-knizek.net/cms/ssh-pres-http-proxy-nastaveni-tunely/

      • RE: Sifrovanie 21.04.2015 | 13:39
        Avatar WlaSaTy   Návštevník

        To mu moc nepomôže. Prvý problém mal s absenciou firewallu kde desktopy v tých pradávnych dobách nevedeli že nejaký firewall existuje. A druhý problém bol klasický MITM kde počas diagnostiky odchytával servisák požiadavky HTTP. Tento návod od pána Knížka je na urobenie ľahkého odvaru šifrovanej VPN, a odsunutie odposluchu domov. To je vhodné ak sa človek pripája s NB z verejných nechránených sietí (Free WiFi), ale problém s MITM to neodtsráni, len ho presunie domov kde môžu človeka odpočúvať úradovia aj bez prokurátora. Na niečo podobné existujú doplnky typu HTTPS enerywhere ktoré otestujú či je stránka dostupná aj cez HTTPS a z nešifrovanej HTTP prepnú na HTTPS. Toto tiež nie vždy pomôže.

        Ale to je jedno. Keďže v pôvodnej požiadavke boli len nejasné spomienky, tak je zbytočné dávať rady ako to vyriešiť. Nie je čo.

    • RE: Sifrovanie 08.06.2015 | 20:53
      Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

      http://www.soom.cz/clanky/887--SSH-Tunelovani-zakladni

    • RE: Sifrovanie 09.06.2015 | 05:52
      Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

      A tiez Tails   http://www.root.cz/clanky/softwarova-sklizen-20-5-2015/

      • RE: Sifrovanie 09.06.2015 | 06:29
        Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

        No u nás sa o Tails písalo viac krát.

        Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
    • RE: Sifrovanie 09.06.2015 | 07:37
      Avatar Radovan Prokop PCLinuxOS LXDE 64bit.  Používateľ

      A aky mas nazor na http://www.soom.cz/clanky/887--SSH-Tunelovani-zakladni

      • RE: Sifrovanie 09.06.2015 | 08:09
        Avatar WlaSaTy   Návštevník

        Kto? V príspevku na ktorý reagujem si reagoval sám na seba.

        A tunelovanie aj s kadejakými VPN a podobnými technológiami vhodnymi na bezpečné spojenie pooddelovaných počítačov ktoré sú nastavené tak aby ich nevidel nik (okrem servra)? Pôvodná otázka bola len o tom, že jeden BFU nemal firewall a druhému nastavil spolubydlo proxy na ovládnutý stroj. Také niečo sa nerieši technológiami VPN ale oddelením strojov s citlivými údajmi od okolitého sveta, a zabezpečením tak, aby hociktorý okoloidúci nemohol meniť nastavenia.

        Byt si predsa zamykáš, tak prečo si nezamykať počítač v ktorom sú kópie osobných dokladov, informácie potrebné na prístup do banky, citlivé fotky hore prdelkou na dečke, ....